El día en que Internet fue atacada

Marzo 19th, 2009

Quizás nunca os lo hayáis planteado, quizás nunca creistéis que fuera posible, quizás ni sentistéis los ecos de tamaña batalla… pero lo cierto es que hubo un día en el que toda Internet casi deja de funcionar, fue uno de los ataques más increíbles que jamás se han realizado.

A lo largo de los años de vida de la red de redes no han sido pocos los que han señalado la debilidad de nuestra arquitectura actual de resolución de nombres. Ya sabéis que cuando escribimos en el navegador “www.google.com”, esto debe traducirse a una dirección IP que luego es usada para establecer la conexión. Para realizar este proceso es necesario que nuestro equipo contacte con algún servidor en donde se mapee el nombre “www.google.com” con su IP correspondiente. Obviamente, no existe ningún servidor central en donde todos los nombres estén mapeados con todas las IP, dado el tamaño de Internet y su naturaleza cambiante, eso es simplemente imposible.

Para visualizar la arquitectura de resolución de nombres debemos imaginar una pirámide, en la cima están los servidores raíz, los directores de la orquesta. A ellos siempre podremos preguntarles por el nombre que queramos resolver, pero en vez de darnos la respuesta, nos contestará con la dirección de un servidor de nivel inferior que puede que si la conozca. Ese servidor, si no la sabe, nos contestará a su vez con una dirección de nivel inferior al suyo, y así vamos bajando hasta dar con el servidor de nombres que tiene la información que buscamos. No quiero entretenerme mucho en el protocolo de resolución de nombres (DNS), pero la idea básica es que la información está repartida entre muchos servidores y existen caminos para llegar a ella a partir de los servidores raíz. Como toda arquitectura jerárquica cuenta con el problema clásico de la decapitación, ¿Qué pasa si por alguna razón caen los servidores raíz?  Existen un total de 13 servidores de raíz y muchos expertos coinciden en que las posibilidades de realizar un ataque éxitoso sobre los 13 de manera simultánea y con la duración suficiente para que sea notable son rídiculas. Por otro lado, estos servidores cuentan con medidas extraordinarias de seguridad, además atacarlos no produce ningún beneficio a nadie.

A pesar de todo, a las 20.45 UTC del  21 de Octubre del 2002 comenzó un ataque de denegación de servicio distribuido sobre los 13 servidores de nombres raíz. Cientos de miles de equipos comenzaron a establecer conexiones con estos servidores, cargándolos de trabajo adicional con la intención de impedirles realizar la tarea para la que fueron diseñados. El grueso del ataque se prolongó hasta  las 22.00 UTC, aunque aún siguieron llegando rafagas de paquetes maliciosos hasta la mañana del 22 de Octubre.

Se estima que cada servidor recibió una carga adicional de entre 50 y 100 Mbits/seg. El tráfico involucrado en el ataque iba desde paquetes ICMP hasta paquetes TCP mal fragmentados, pasando por los clásicos TCP SYN o intentos de conexiones UDP. Todas las direcciones de origen eran falsas, por lo que nunca se pudo ubicar a los bots que lanzaron el ataque.

Lo más singular es que fue la primera vez en que se ponía en marcha un ataque simultáneo de tal magnitud, el simple hecho de llevarlo a cabo ya era un reto importante. Otro de los detalles más desconcertantes fueron las motivaciones del atacante… la gloria en los sitios más oscuros del underground es lo único que parece aceptable.

El objetivo del ataque era evitar que los servidores de nombres raíz pudieran responder a las peticiones de resolución de nombres, lo que impediría la comunicación con cualquier máquina de la que no supieramos la IP. Por buscar un símil, si Internet es un gran continente, el ataque lo hubiera fragmentado en pequeñas islas incomunicadas entre sí… o con una comunicación muy limitada. Un desastre… sin negocios globales, sin e-mail… SIN GOOGLE!!! :P (bueno, posiblemente sí que seguiríamos teniendo acceso a Google, al menos durante varias horas después del comienzo del ataque, pero eso es otra historia). El caso es que de haber funcionado, hubiera sido un cataclismo sin precedentes… pero a que no os habéis enterado de que algo parecido haya sucedido, ¿verdad?

A pesar de que el ataque llegó a afectar a 9 de los 13 servidores, sólo fue perceptible por el usuario final como pequeños retrasos al intentar usar ciertos servicios. Esto se debió principalmente a las buenas medidas con las que contaban los servidores raíz para hacer frente a eventualidades como éstas y al buen hacer de los técnicos que intervinieron en esta incidencia: se amplió el caudal de datos, se activaron balanceadores de carga, se pusieron en marcha redes espejos para evitar congestiones en puntos concretos y muchas más medidas adicionales.

Todo quedó en un susto, horas de sueño perdidas y bastante dinero gastado (las contramedidas que se tomaron para mantener el servicio no fueron precisamente baratas). Además sirvió para reforzar aún más la seguridad de estos servidores.

Pero ésta no fue la última vez que se intetó decapitar Internet, el 6 de Febrero del 2007 un nuevo ataque masivo intentaba dejar fuera de servicio a los servidores raíz. A pesar de que este ataque fue mucho más agresivo y gracias a las mejoras introducidas en la arquitectura DNS tras el ataque del 2002, el impacto fue muy limitado, aunque se informó que dos de los servidores raíz habían sido gravemente afectados. Sin embargo, una vez más, el usuario final apenas notó retrasos en las comunicaciones.

Creedme si os digo que todos los días se libran batallas escalofriantes en ésta, nuestra red, sin embargo los hombres de negro velan por nosotros… o eso dicen ellos.

Fuentes principales:

http://d.root-servers.org/october21.txt

http://www.icann.org/announcements/factsheet-dns-attack-08mar07.pdf

Categorías: Cibercriminales, curiosidades | 17 comentarios

Joybubbles, The Whistler

Octubre 24th, 2008

El 25 de Mayo de 1949 nacía en Richmond, Virginia Josef Carl Engressia, Jr. un niño que estaba llamado a convertirse en el padre del phreaking e inspirador del movimiento hacker. Nació ciego y no tuvo una infancia feliz, por una parte fue víctima de abusos sexuales a mano de una de sus profesoras, una monja. Por otra, sus constantes mudanzas debido a que su padre trabajaba como fotógrafo para diferentes escuelas y el empeño de su madre en empujarlo para que aprovechara su elevado coeficiente intelectual hicieron, como el mismo dijo más tarde, que perdiera su infancia.

Pero Josef Engressia no era un niño cualquiera, el hecho de que fuera ciego no era lo único que lo diferenciaba de los demás. Su cociente intelectual (IQ) sobrepasaba los 170, lo que lo convertía en un genio genuino. Esto le permitió interesarse desde muy temprana edad por el funcionamiento de las líneas teléfonicas, aunque más que interesarse hay que decir que estaba obsesionado con los teléfonos y su funcionamiento, de hecho sus padres decidieron prescindir del teléfono una temporada (5 años) para intentar controlar a su hijo. Al final se dieron cuenta que la medida era inútil y su madre lo alentó a leer documentos técnicos sobre el tema.

Pero es que Josef había sido bendecido con otro don, el oído absoluto, una rara habilidad innata que permite, entre otras cosas, distinguir cualquier nota y reproducirla sin tener referencias previas; incluso más extraordinaria era su capacidad para silbar a altísimas frecuencias, algo casi imposible para el resto de nosotros.

A la edad de 9 años, mientras realizaba una llamada de larga distancia, oyó un ruido de fondo. Decidió imitarlo y descubrió que la línea se cortaba. Había silbado a 2600Hz, una de las señales claves que usaba la compañía Bell para la comunicación entre centralitas. Aquí fue donde comenzó su leyenda.

Por aquel entonces en el que todo era analógico, los ingenieros de la Bell Company se enfrentaban a un dilema sobre como transportar las señales entre las distintas centralitas. Por un lado había que llevar la voz, pero además era necesario llevar señales de control como, por ejemplo, el fin de llamada. Había básicamente dos soluciones, se podían usar dos circuitos paralelos, uno para voz y otro para control, o bien buscar alguna manera de incluir voz y datos en el mismo circuito. La primera era la alternativa cara, ya que prácticamente duplicaba los costes. Así que se decidieron por lo segundo, para conseguir esto pusieron las señales de control a una frecuencia muy elevada y díficilmente reproducible por el hombre. Sin duda la instalación les salió bastante barata, pero aún a día de hoy se arrepienten de su decisión.

Josef Engressia, tras su apasionante descubrimiento, no tardó en averiguar que podía llamar gratis a cualqueir lado. Era bastante sencillo: llamaba a un número gratuito, lanzaba su silbido de 2600Hz (imitación perfecta de la señal de control de fin de llamada) y el otro extremo de la línea se desconectaba. Su extremo seguía conectado y la línea pasaba a un estado de operador desde el que podía realizar una nueva llamada sin coste adicional.

Es famosa la anécdota en la que se cuenta que fue conectándose de centralita en centralita, de estado en estado, de país en país, hasta que hizo que la llamada girara alrededor del mundo y volviera a un teléfono que estaba unos metros más allá. El mismo recogió la llamada y oyó su voz al otro lado de la línea debido al retardo telefónico.

A la edad de 12 años fue localizado por la Bell Company y arrestado. Los medios de comunicación se hicieron eco de la noticia y algunos definieron a Josef como un phreaker, de phone (teléfono) y freak (fanático)… se acuñaba un termino que iba a ser el precursor de toda una cultura. Josef se convirtió en referencia para muchos, recibía constantemente cartas y llamadas de gente que como él habían descubierto fallos en la red de la Bell Company.

A mitad de los 70, cuando la digitalización se introdujo en el sistema telefónico y acabo con el antiguo método de comunicación entre centralitas, ya silbar no servía para nada. Pero las proezas de Josef Engressia se habían extendido por todo EEUU y era aclamado con un auténtico héroe.

La vida de Josef fue muy peculiar, durante la década de los 60 estudió filosofía en la universidad  de South Florida, de donde fue expulsado después de que lo pillaran haciendo llamadas para sus compañeros, a los que cobraba un dolar por la conferencia. Precisamente fue en la universidad donde se ganó el sobrenombre de The Whistler, que podríamos traducir como El Silbador. En el 71 se mudó a Memphis, en donde se le imputaron cargos por fraude telefónico, durante este época se convirtió en nervio central del movimiento phreaking y ayudó a muchos a explorar el mundo de las comunicaciones telefónicas. Tuvo varios trabajos relacionados con los teléfonos, desde limpiarlos a detectar problemas en redes telefónicas. En Junio del 82, cansado de sus trabajos basura, se mudó a Minneapolis donde subsistió gracias a una paga por invalidez y a algunas colaboraciones que realizó como investigador.

A los 40 años miró hacia atrás y decidió recuperar la infancia perdida. Se cambió el nombre por Joybubbles y proclamó que a partir de ese momento tendría 5 años para siempre. Fundó La Iglesia de la Eterna Niñez de la que fue pastor y cuyo principal objetivo era luchar por los derechos de los niños. En la última etapa de su vida se volcó en acciones humanitarias.

Murió en agosto del 2007 a la edad de 58 años por causas desconocidas, aunque algunas fuentes apuntan a un posible paro cardíaco. Su leyenda marcó un hito en la historia y  seguirá presente en la memoria colectiva hasta el fin de los días.

Fuentes

http://www.nytimes.com/2007/08/20/us/20engressia.html/partner/rssnyt

http://www.elperiodico.com/default.asp?idpublicacio_PK=46&idioma=CAS&idnoticia_PK=434506&idseccio_PK=1021

http://es.wikipedia.org/wiki/Joe_Engressia

Categorías: Cibercriminales | 1 comentario

J. J. Ancheta, Mr. Bot Herder

Septiembre 29th, 2008

Hoy inauguro una nueva sección del blog, cibercriminales. Como ya habréis imaginado, aquí os contaré las gestas de esas mentes retorcidas y oscuras que han hecho de este mundo nuestro un lugar más inseguro. Quizás debería empezar con el caso más conocido de la historia, Kevin Mitnick, pero seguro que ya todos sabréis de él (si queréis detalles técnicos de su ataque más famoso conozco un libro en el que lo explican perfectamente, jejeje).

Comencemos, en 1986 vio la luz el pequeño Jeanson James Ancheta, un muchacho destinado a tener una vida anónima y complicada con un sueldito que apenas le alcanzaría para llegar a fin de mes. Chico problemático, pasó parte de su vida en el Downey High School, un instituto situado en un suburbio de Los Angeles. Lo dejó en septiembre del 2001 para incorporarse  más tarde a un programa especial para alumnos problemáticos gracias al que finalmente consiguió su diploma.

Estuvo trabajando algún tiempo en un cibercafé y tenía intención de entrar en el ejército para mejorar su nivel de vida. O al menos pensó en eso hasta que en el 2004 descubrió el maravilloso mundo de los gusanos a través de rxbot, un ejemplar bastante común pero muy potente y sencillo de configurar. Diseñado para infectar equipos de manera autónoma y dar el control de estos a su creador, era justo lo que había estado buscando para escapar de su mundo de miseria.

Con esta idea en mente, comenzó a usar gusanos personalizados para infectar equipos, convirtiéndose en Bot Herder de una importante BotNet. A mediados del 2004 decidió montar un negocio en un canal privado del IRC (#botz4sale), en el que se dedicaba a vender acceso ilegítimo a un buen número de ordenadores previamente infectados. Gracias a esta pequeña aventurilla consiguió ganar más de 3000$, pero lo que fue más importante, vio que aquello podía ser algo muy rentable.

La venta de bots estaba bien pero no le reportaba las ganancias esperadas, así que a finales del 2004 decidió dar un giro a su negocio. Firmó contratos con dos compañías de publicidad (LoudCash of Bellevue, Wash. y GammaCash Entertainment of Montreal). Por cada cliente que convenciera para que se instalara el adware de la empresa, Ancheta cobraría entre 20 y 70 céntimos. En vez de seguir el procedimiento habitual (y legal) de crear una página web desde la que convencer al visitante para que se descargara e instalara el software, nuestro joven amigo siguió un camino más directo. El mismo se conectaba a los ordenadores que previamente había infectado e instalaba el adware.

El procedimiento lo desbordó, por una parte tenía que seguir engordando su BotNet (que llegó a contar con cerca de medio millón de equipos en su momento de máximo esplendor) y por otro lado tenía que instalar el adware en los sistemas comprometidos. Así que contrató a un joven ayudante con el que se comunicaba vía AOL messenger y al que enseñó cómo infectar nuevos equipos y cómo manejar las instalaciones de adware. Entre los dos consiguieron ganar cerca de 60000$ en apenas seis meses. Para la posterioridad quedará la frase que Ancheta dijo a su ayudante en una de sus conversaciones sobre la infección de equipos: It’s immoral, but the money makes it right (Es inmoral, pero el dinero lo justifica).

En noviembre del 2005, Ancheta fue arrestrado por agentes del FBI como parte de la operación Bot Roast. En el 2006 fue declarado culpable por delitos varios entre los que se encontraba el secuestro de multitud de ordenares, consiguiendo el dudoso honor de ser la primera persona imputada por este motivo. Fue condenado a 60 meses de cárcel, perdió el BMW que había comprado con sus ganancias y lo que le quedaba de éstas y además se le impuso una multa de 15000$ por haber infectado ordenadores militares.

Lo más triste de esta historia es que nuestro joven protagonista es sólo uno de esos tantos chavales con escasa formación y demasiada motivación que se creen imparables. No comprenden lo fácil que es tracearlos y dar con ellos, no entienden que sus hábitos rutinarios los hacen predecibles y que con toda certeza hace tiempo que los están siguiendo. Por eso son los que pagan por estos crímenes de los que otros se aprovechan con muchos mejores resultados… desgraciadamente a esos otros es difícil pillarlos, esos otros sí saben moverse en esta telaraña global de comunicaciones.

Bonus: aquí tenéis la foto de Ancheta para los morbosos que quieran saber que aspecto tiene un Bot Herder.

Jeanson James Ancheta

Fuentes:

http://en.wikipedia.org/wiki/Jeanson_James_Ancheta

http://www.usatoday.com/tech/news/computersecurity/infotheft/2006-04-23-bot-herders_x.htm

http://www.theinternetpatrol.com/its-immoral-but-the-money-makes-it-right-says-botnet-operator-jeanson-ancheta-now-it-makes-it-time-in-the-slammer

http://en.wikipedia.org/wiki/Agobot_(computer_worm) 

Categorías: Cibercriminales | 4 comentarios